苹果邮件加密不完全 部分内容仍被存储在系统文件
发布时间:2019-11-09 发布者:亚时财经
据国外媒体报道,苹果声誉很大程度上取决于其如何保护用户的隐私,其也希望成为用户唯一信任的科技公司。但是,如果用户从苹果邮件应用程序发送加密邮件,目前有一种方法可以从macOS系统中读取这些邮件中的某些文本,就好像它们没有加密一样。据说,苹果几个月前就知道这个漏洞,但没有提供任何修复。
需要指出的是,这一漏洞只会影响到少部分用户。只有通过苹果邮件发送加密邮件,没有使用FileVault加密整个系统的用户,而且确切知道在苹果系统文件中查找相关信息才会发现到这一漏洞。
苹果表示,其已经意识到了这个问题,并表示将在未来的软件更新中解决这个问题。该公司还表示,服务器只是存储了部分电子邮件内容。但事实是,苹果仍然会以某种方式将部分用户明确的加密邮件公开,这显然会造成不好的影响。
专注于研究苹果的IT专家鲍勃·金德勒(Bob Gendler)周三在一个媒体博客上分享了这一漏洞。金德勒说,在试图弄清楚macOS和Siri如何向用户推荐信息时,他发现macOS数据库文件存储了来自用户电子邮件和其他应用程序的信息,然后Siri会利用这些信息向用户推荐更匹配的信息。这本身并不太令人震惊,苹果需要参考和学习用户的一些信息,提供更好的Siri建议。
但金德勒发现了其中一个名为snippets.db的数据库文件以未加密文本的方式存储了本应加密的用户电子邮件。
从下图中可看出,左边的圆圈中是一封加密的电子邮件,金德勒在删除私钥的情况下无法读取邮件内容。但是在右边的圆圈中,金德勒可以在snippes .db中辨认出加密邮件的文本内容。
金德勒说他测试了最近发布的四版macOS系统,分别是Catalina, Mojave, High Sierra和Sierra,发现都可以读取snippes .db上的加密邮件。现在,不少用户都能够确认snippes .db的存在,也发现其存储了用户通过苹果邮件发来的部分加密。
金德勒在7月29日第一次向苹果公司报告了这个问题,他说直到11月5日,也就是99天后,公司才给他提供了一个临时的解决方案,期间他们与苹果公司就这个问题进行了多次对话。尽管苹果已经更新了macOS的四个版本,其中Gendler在报告后的几个月里仍然能够发现这一漏洞,这些更新都没有包含真正的修复。
如果用户想阻止苹果系统将电子邮件内容收集存储到snippets.db中,苹果表示可以通过点击进入系统设置> Siri > Siri建议&隐私>邮件,然后切换 “从这个程序中学习”。金德勒说,苹果所提供的这种临时解决方案只会阻止新邮件被添加到snippets.db中。如果用户想确保可能存储在snippes .db中的旧电子邮件内容不会再被扫描,你可能需要删除该文件。
苹果公司表示,如果用户想避免这些未加密的片段被其他应用程序读取,可以限制macOS Catalina操作系统为应用程序提供完整的磁盘访问权限。苹果还表示,如果你想要更加安全,那么打开加密措施FileVault可以加密Mac上的所有内容。
同样,这种脆弱性可能不会影响那么多用户。但如果用户认为苹果邮件内容是完全加密的,那就错了。正如金德勒所说,“它提出了这样一个问题:在用户没有意识到的情况下,还有哪些内容会被跟踪并可能以不恰当的方式存储。”
文章来源:网易科技
责任编辑:杨颖
热门话题更多>>
国务院国资委网站3月31日发布消息,经报国务院批..[查看详细]
2021-04-01 10:43
3月份中国制造业采购经理指数、非制造业商务活动指..[查看详细]
2021-03-31 10:20
联合国粮农组织公布的数据显示,2021年2月份,..[查看详细]
2021-03-25 15:22
3月22日,中国电子信息产业发展研究院发布的《2..[查看详细]
2021-03-22 16:53
风电板块走强,节能风电拉升涨停,大金重工涨超6%..[查看详细]
2021-03-19 10:47
3月18日,国家互联网信息办公室、公安部加强对语..[查看详细]
2021-03-18 19:36
1-2月份,在以习近平同志为核心的党中央坚强领导..[查看详细]
2021-03-15 14:41
3月11日,国务院总理李克强在人民大会堂三楼金色..[查看详细]
2021-03-12 10:00
今日,核电板块走强,整个指数大涨4%。截至发稿,..[查看详细]
2021-03-08 15:11
今天上午,十三届全国人大四次会议在人民大会堂开幕..[查看详细]
2021-03-05 15:06
